<section id="nice" data-tool="mdnice编辑器" data-website="https://www.mdnice.com" style="font-size: 16px; color: black; padding: 0 10px; line-height: 1.6; word-spacing: 0px; letter-spacing: 0px; word-break: break-word; word-wrap: break-word; text-align: left; font-family: Optima-Regular, Optima, PingFangSC-light, PingFangTC-light, 'PingFang SC', Cambria, Cochin, Georgia, Times, 'Times New Roman', serif; margin-top: -10px;"><blockquote data-tool="mdnice编辑器" style="display: block; font-size: 0.9em; overflow: auto; overflow-scrolling: touch; border-left: 3px solid rgba(0, 0, 0, 0.4); color: #6a737d; padding-top: 10px; padding-bottom: 10px; padding-left: 20px; padding-right: 10px; margin-bottom: 20px; margin-top: 20px; border-left-color: rgb(239, 112, 96); background: #fff9f9;">
<p style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0px; color: black; line-height: 26px;">人生苦短,不如养狗</p>
</blockquote>
<h1 data-tool="mdnice编辑器" style="margin-top: 30px; margin-bottom: 15px; padding: 0px; font-weight: bold; color: black; font-size: 24px;"><span class="prefix" style="display: none;"></span><span class="content">一、问题描述--动态查询条件</span><span class="suffix"></span></h1>
<h2 data-tool="mdnice编辑器" style="margin-top: 30px; margin-bottom: 15px; padding: 0px; font-weight: bold; color: black; border-bottom: 2px solid rgb(239, 112, 96); font-size: 1.3em;"><span class="prefix" style="display: none;"></span><span class="content" style="display: inline-block; font-weight: bold; background: rgb(239, 112, 96); color: #ffffff; padding: 3px 10px 1px; border-top-right-radius: 3px; border-top-left-radius: 3px; margin-right: 3px;">背景</span><span class="suffix"></span><span style="display: inline-block; vertical-align: bottom; border-bottom: 36px solid #efebe9; border-right: 20px solid transparent;"> </span></h2>
<p data-tool="mdnice编辑器" style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0; line-height: 26px; color: black;"> 文章的背景是一位同事想要使用Mybatis动态设置查询条件,但是这个过程中使用"$"却无法进行相应查询引发的问题。当时闲鱼正在拥抱Mybatis-Plus,所以顺带做了一个对比。</p>
<h2 data-tool="mdnice编辑器" style="margin-top: 30px; margin-bottom: 15px; padding: 0px; font-weight: bold; color: black; border-bottom: 2px solid rgb(239, 112, 96); font-size: 1.3em;"><span class="prefix" style="display: none;"></span><span class="content" style="display: inline-block; font-weight: bold; background: rgb(239, 112, 96); color: #ffffff; padding: 3px 10px 1px; border-top-right-radius: 3px; border-top-left-radius: 3px; margin-right: 3px;">问题</span><span class="suffix"></span><span style="display: inline-block; vertical-align: bottom; border-bottom: 36px solid #efebe9; border-right: 20px solid transparent;"> </span></h2>
<p data-tool="mdnice编辑器" style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0; line-height: 26px; color: black;"> 本文主要介绍的是在项目使用中对于动态传入where和order by条件引发的问题进行的对Mybatis和Mybatis-Plus的对比。<br>
项目中使用的是Mybatis,其中xml文件中一个查询语句是进行如下编写的:</p>
<pre class="custom" data-tool="mdnice编辑器" style="margin-top: 10px; margin-bottom: 10px;"><code class="hljs" style="overflow-x: auto; padding: 16px; color: #abb2bf; background: #282c34; display: block; font-family: Operator Mono, Consolas, Monaco, Menlo, monospace; border-radius: 0px; font-size: 12px; -webkit-overflow-scrolling: touch;">order by <span class="hljs-comment" style="color: #5c6370; font-style: italic; line-height: 26px;">#{condition}</span>
<span/></code></pre>
<p data-tool="mdnice编辑器" style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0; line-height: 26px; color: black;"> 在动态传入条件的时候使用了“#”,当然不适用“$”的目的就是为了防止SQL注入,但是实际使用的时候就会出现如下的问题:</p>
<pre class="custom" data-tool="mdnice编辑器" style="margin-top: 10px; margin-bottom: 10px;"><code class="hljs" style="overflow-x: auto; padding: 16px; color: #abb2bf; background: #282c34; display: block; font-family: Operator Mono, Consolas, Monaco, Menlo, monospace; border-radius: 0px; font-size: 12px; -webkit-overflow-scrolling: touch;">order by ?
<span/></code></pre>
<p data-tool="mdnice编辑器" style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0; line-height: 26px; color: black;"> 在日志中你可以看到传入的condition条件变成了"?",这是怎么回事?明明已经传了值,但是为什么在运行时会认为是没有值呢?</p>
<h1 data-tool="mdnice编辑器" style="margin-top: 30px; margin-bottom: 15px; padding: 0px; font-weight: bold; color: black; font-size: 24px;"><span class="prefix" style="display: none;"></span><span class="content">二、问题分析</span><span class="suffix"></span></h1>
<h2 data-tool="mdnice编辑器" style="margin-top: 30px; margin-bottom: 15px; padding: 0px; font-weight: bold; color: black; border-bottom: 2px solid rgb(239, 112, 96); font-size: 1.3em;"><span class="prefix" style="display: none;"></span><span class="content" style="display: inline-block; font-weight: bold; background: rgb(239, 112, 96); color: #ffffff; padding: 3px 10px 1px; border-top-right-radius: 3px; border-top-left-radius: 3px; margin-right: 3px;">"$"和"#"的区别</span><span class="suffix"></span><span style="display: inline-block; vertical-align: bottom; border-bottom: 36px solid #efebe9; border-right: 20px solid transparent;"> </span></h2>
<p data-tool="mdnice编辑器" style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0; line-height: 26px; color: black;"> 对于这个问题,我们先来看下"$"和"#"的区别。</p>
<p data-tool="mdnice编辑器" style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0; line-height: 26px; color: black;"> 在Mybatis中我们进行数据的传入会使用两种方式,一种是"#",一种是"$"。在使用中可能大部分都知道前一种可以防止SQL注入,而后一种不行,但是具体原因去没有进行深究。现在我们来分析一下这两种传值的不同。分析之前先来补充一个重要的知识点,Mybatis对于动态SQL的处理分为两个阶段,第一个阶段是<strong style="font-weight: bold; color: black;">动态解析</strong>,将动态SQL解析为一个BoundSql对象,第二个阶段是<strong style="font-weight: bold; color: black;">预编译</strong>。</p>
<p data-tool="mdnice编辑器" style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0; line-height: 26px; color: black;"> 首先我们来看下"$"传值,类似下面的语句:</p>
<pre class="custom" data-tool="mdnice编辑器" style="margin-top: 10px; margin-bottom: 10px;"><code class="hljs" style="overflow-x: auto; padding: 16px; color: #abb2bf; background: #282c34; display: block; font-family: Operator Mono, Consolas, Monaco, Menlo, monospace; border-radius: 0px; font-size: 12px; -webkit-overflow-scrolling: touch;"><span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">select</span> * <span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">from</span> <span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">user</span> <span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">where</span> <span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">name</span> = ${<span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">name</span>}
<span/></code></pre>
<p data-tool="mdnice编辑器" style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0; line-height: 26px; color: black;"> Mybatis在遇到"$"符号的时候,会自动认为不需要进行任何处理,只需要简单纯粹的变量替换,所以在动态解析阶段就会进行变量替换,这也是导致SQL注入的重要原因。在动态解析之后,这条SQL会被处理为如下语句:</p>
<pre class="custom" data-tool="mdnice编辑器" style="margin-top: 10px; margin-bottom: 10px;"><code class="hljs" style="overflow-x: auto; padding: 16px; color: #abb2bf; background: #282c34; display: block; font-family: Operator Mono, Consolas, Monaco, Menlo, monospace; border-radius: 0px; font-size: 12px; -webkit-overflow-scrolling: touch;"><span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">select</span> * <span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">from</span> <span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">user</span> <span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">where</span> <span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">name</span> = <span class="hljs-string" style="color: #98c379; line-height: 26px;">'zhangsan'</span>
<span/></code></pre>
<p data-tool="mdnice编辑器" style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0; line-height: 26px; color: black;"> 再来看下"#"传值,还是使用上面的语句:</p>
<pre class="custom" data-tool="mdnice编辑器" style="margin-top: 10px; margin-bottom: 10px;"><code class="hljs" style="overflow-x: auto; padding: 16px; color: #abb2bf; background: #282c34; display: block; font-family: Operator Mono, Consolas, Monaco, Menlo, monospace; border-radius: 0px; font-size: 12px; -webkit-overflow-scrolling: touch;"><span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">select</span> * <span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">from</span> <span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">user</span> <span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">where</span> <span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">name</span> = <span class="hljs-comment" style="color: #5c6370; font-style: italic; line-height: 26px;">#{name}</span>
<span/></code></pre>
<p data-tool="mdnice编辑器" style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0; line-height: 26px; color: black;"> 和"$"不同的是,Mybatis在遇到"#"符号时会将其解析为一个JDBC预编译语句的参数标记符,简单来说,就是会使用<strong style="font-weight: bold; color: black;">preparestatement</strong>来进行SQL处理,使用<strong style="font-weight: bold; color: black;">preparestatement</strong>会将传入的参数与SQL进行分开处理,只有在<strong style="font-weight: bold; color: black;">DBMS</strong>完成SQL指令的编译之后才会套用参数运行(这一步中的编译操作由JDBC的SQL预编译进行处理,DBMS无需再进行SQL编译就可以直接执行)。<br>
上面的语句经过动态编译之后会呈现如下结果:</p>
<pre class="custom" data-tool="mdnice编辑器" style="margin-top: 10px; margin-bottom: 10px;"><code class="hljs" style="overflow-x: auto; padding: 16px; color: #abb2bf; background: #282c34; display: block; font-family: Operator Mono, Consolas, Monaco, Menlo, monospace; border-radius: 0px; font-size: 12px; -webkit-overflow-scrolling: touch;"><span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">select</span> * <span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">from</span> <span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">user</span> <span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">where</span> <span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">name</span> = ?
<span/></code></pre>
<p data-tool="mdnice编辑器" style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0; line-height: 26px; color: black;"> 一个#{}被解析为一个参数占位符"?",需要注意的是,使用SQL占位符来进行字符串变量替换的时候会带单引号'',这也是上面动态条件为什么使用"#"会出现SQL语法错误的原因。对于"#",变量替换是发生在<strong style="font-weight: bold; color: black;">DBMS</strong>中。</p>
<h1 data-tool="mdnice编辑器" style="margin-top: 30px; margin-bottom: 15px; padding: 0px; font-weight: bold; color: black; font-size: 24px;"><span class="prefix" style="display: none;"></span><span class="content">三、问题解决</span><span class="suffix"></span></h1>
<h2 data-tool="mdnice编辑器" style="margin-top: 30px; margin-bottom: 15px; padding: 0px; font-weight: bold; color: black; border-bottom: 2px solid rgb(239, 112, 96); font-size: 1.3em;"><span class="prefix" style="display: none;"></span><span class="content" style="display: inline-block; font-weight: bold; background: rgb(239, 112, 96); color: #ffffff; padding: 3px 10px 1px; border-top-right-radius: 3px; border-top-left-radius: 3px; margin-right: 3px;">1.使用Mybatis尝试解决</span><span class="suffix"></span><span style="display: inline-block; vertical-align: bottom; border-bottom: 36px solid #efebe9; border-right: 20px solid transparent;"> </span></h2>
<p data-tool="mdnice编辑器" style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0; line-height: 26px; color: black;"> 搞明白了出现上面问题原因,应该如何解决呢?其实很简单,我们传入类似表名或者字段名这些字段时使用的是字符串,此时像上面一样使用"#",在DBMS中运行时就出现如下情况:</p>
<pre class="custom" data-tool="mdnice编辑器" style="margin-top: 10px; margin-bottom: 10px;"><code class="hljs" style="overflow-x: auto; padding: 16px; color: #abb2bf; background: #282c34; display: block; font-family: Operator Mono, Consolas, Monaco, Menlo, monospace; border-radius: 0px; font-size: 12px; -webkit-overflow-scrolling: touch;">order by 'condition'
<span/></code></pre>
<p data-tool="mdnice编辑器" style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0; line-height: 26px; color: black;"> 此时就会出现SQL运行时错误,而在日志中打印时会将动态解析是的BoundSql对象打印出来,也就是:</p>
<pre class="custom" data-tool="mdnice编辑器" style="margin-top: 10px; margin-bottom: 10px;"><code class="hljs" style="overflow-x: auto; padding: 16px; color: #abb2bf; background: #282c34; display: block; font-family: Operator Mono, Consolas, Monaco, Menlo, monospace; border-radius: 0px; font-size: 12px; -webkit-overflow-scrolling: touch;">order by ?
<span/></code></pre>
<p data-tool="mdnice编辑器" style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0; line-height: 26px; color: black;"> 为了解决"#"的问题,我们可以使用"$",这样在动态解析时就会进行变量替换,而不会使用SQL占位符来进行替换。但是这样就会出现SQL注入问题。这时我想到了Mybatis不行的话,不如试一试Mybatis-Plus。</p>
<h2 data-tool="mdnice编辑器" style="margin-top: 30px; margin-bottom: 15px; padding: 0px; font-weight: bold; color: black; border-bottom: 2px solid rgb(239, 112, 96); font-size: 1.3em;"><span class="prefix" style="display: none;"></span><span class="content" style="display: inline-block; font-weight: bold; background: rgb(239, 112, 96); color: #ffffff; padding: 3px 10px 1px; border-top-right-radius: 3px; border-top-left-radius: 3px; margin-right: 3px;">2.使用Mybatis-Plus尝试解决</span><span class="suffix"></span><span style="display: inline-block; vertical-align: bottom; border-bottom: 36px solid #efebe9; border-right: 20px solid transparent;"> </span></h2>
<p data-tool="mdnice编辑器" style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0; line-height: 26px; color: black;"> 在Mybatis-Plus中我们可以选择和Mybatis一样使用动态SQL语句,也可以使用EntityWrapper对象来组装查询条件,其中orderBy可以进行如下拼接:</p>
<pre class="custom" data-tool="mdnice编辑器" style="margin-top: 10px; margin-bottom: 10px;"><code class="hljs" style="overflow-x: auto; padding: 16px; color: #abb2bf; background: #282c34; display: block; font-family: Operator Mono, Consolas, Monaco, Menlo, monospace; border-radius: 0px; font-size: 12px; -webkit-overflow-scrolling: touch;"> EntityWrapper<MqdeliverChannelEntity> wrapper = <span class="hljs-keyword" style="color: #c678dd; line-height: 26px;">new</span> EntityWrapper<>();
<span/> wrapper.eq(<span class="hljs-string" style="color: #98c379; line-height: 26px;">"article_id"</span>,<span class="hljs-string" style="color: #98c379; line-height: 26px;">"test_01"</span>);
<span/> wrapper.orderBy(<span class="hljs-string" style="color: #98c379; line-height: 26px;">"gmt_create and 0<>(select count(*) from admin)"</span>);
<span/> <span class="hljs-comment" style="color: #5c6370; font-style: italic; line-height: 26px;">// and 0<>(select count(*) from admin) 该语句是用来测试SQL注入</span>
<span/></code></pre>
<p data-tool="mdnice编辑器" style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0; line-height: 26px; color: black;"> 很不幸,试验失败了。使用wrapper对象的orderBy方法可以进行动态传值,但是仍然无法阻止SQL注入。执行结果如下图展示:</p><br>
<img src="https://bruce-test-store.oss-cn-hangzhou.aliyuncs.com/study/img/SQL注入异常.png" width="400" hegith="350" data-tool="mdnice编辑器" style="display: block; margin: 0 auto; max-width: 100%;"> <br>
<p data-tool="mdnice编辑器" style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0; line-height: 26px; color: black;"> 看到这个结果后,我又去看了一遍源码,确实这个是作为字段直接进行SQL语句拼接,这个操作等效于使用"$"。但是我依然不死心,又跑到github上去咨询了一下作者,但是作者进行了如下回复:</p><br>
<img src="https://bruce-test-store.oss-cn-hangzhou.aliyuncs.com/study/img/github回复.png" width="400" hegith="350" data-tool="mdnice编辑器" style="display: block; margin: 0 auto; max-width: 100%;"> <br>
<p data-tool="mdnice编辑器" style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0; line-height: 26px; color: black;"> 好吧,是在下输了。那么就只能使用一种Low的方式解决了--使用枚举类。至于枚举类怎么写,大家自由发挥,我就不献丑了。</p>
<h1 data-tool="mdnice编辑器" style="margin-top: 30px; margin-bottom: 15px; padding: 0px; font-weight: bold; color: black; font-size: 24px;"><span class="prefix" style="display: none;"></span><span class="content">四、总结</span><span class="suffix"></span></h1>
<p data-tool="mdnice编辑器" style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0; line-height: 26px; color: black;"> 经过对比,发现无论使用Mybatis还是Mybatis-Plus都是无法避免SQL注入,这一局两者打平。以上就是这次的分享,溜了溜了~~</p>
<p id="nice-suffix-juejin-container" class="nice-suffix-juejin-container" data-tool="mdnice编辑器" style="font-size: 16px; padding-top: 8px; padding-bottom: 8px; margin: 0; line-height: 26px; color: black; margin-top: 20px !important;">本文使用 <a href="https://mdnice.com" style="text-decoration: none; word-wrap: break-word; font-weight: bold; color: rgb(239, 112, 96); border-bottom: 1px solid rgb(239, 112, 96);">mdnice</a> 排版</p></section>
Copyright: 采用 知识共享署名4.0 国际许可协议进行许可
Links: https://www.swzgeek.com/archives/拥抱开源之mybatis-plus动态查询条件引发的对比
